Applies ToWindows 11 Windows 10
Одной из Безопасность Windows функций приложения является журнал защиты, который содержит полный список действий, которые Microsoft Defender антивирусная программа выполнила от вашего имени, потенциально нежелательных приложений, которые были удалены, и основных служб, которые отключены.
Примечание: Журнал защиты хранит события только в течение двух недель, после чего они исчезают из списка.
В приложении «Безопасность Windows» на компьютере, выберите Журнал защиты или используйте следующую ссылку:
Журнал защиты
События отображаются в виде ряда карточек в журнале защиты. События, требующие внимания, задаются цветом:
-
Красный указывает на серьезный элемент, требующий немедленного внимания
-
Желтый цвет обозначает элемент, который не является срочным, но который следует проверить, когда вы можете
Выбрав карта, вы можете развернуть его и получить дополнительные сведения.
Важно: Для просмотра сведений об угрозах в журнале защиты на этом устройстве необходимо иметь права администратора.
В следующих разделах описаны наиболее распространенные события в журнале защиты. Разверните каждый раздел, чтобы узнать больше:
Если антивирусная программа Microsoft Defender обнаруживает вредоносные программы, она будет записана в журнал защиты.
|
Тип оповещения |
Описание |
|---|---|
|
Обнаружена угроза — требуется действие |
Microsoft Defender антивирусная программа обнаружила возможную угрозу и вам нужно принять решение о том, как с ней справиться. Выбрав раскрывающийся список Действия, вы можете поместить угрозу в карантин , сделать ее безвредной. Если вы уверены, что этот элемент был ложно идентифицирован как угроза, можно выбрать разрешить на устройстве. Внимание: Если вы не уверены, является ли элемент безопасным или нет, лучше выбрать Карантин. Если выбрать Разрешить на устройстве , файл будет продолжаться, и если он на самом деле представляет угрозу, ваши данные. личная информация или устройство теперь могут находиться под угрозой. Если вы выберете Разрешить и позже захотите отменить это действие, перейдите на страницу Разрешенные угрозы и вы можете удалить его из списка разрешенных. |
|
Угроза помещена в карантин |
Это означает, что угроза заблокирована и помещена в карантин. Он еще не удален, но в настоящее время не должен представлять угрозу для ваших данных или устройства. Можно выполнить два действия :
|
|
Угроза заблокирована |
Это означает, что Defender заблокировал и удалил угрозу на вашем устройстве. С вашей стороны не требуется никаких действий, хотя вы можете рассмотреть, как угроза достигла вашего компьютера, чтобы снизить риск повторения. Распространенные способы возникновения угрозы включают в себя небезопасное вложение в сообщении электронной почты, скачаное с небезопасного веб-сайта или через зараженное USB-устройство хранения. Если вы считаете, что это «ложноположительный результат» и что файл безопасен, можно выбрать Действия , а затем — Разрешить. Эта угроза уже удалена, поэтому разрешить применяется только к следующему просмотру этого файла. Если вы хотите его использовать, вам потребуется повторно скачать файл. |
|
Исправление не завершено |
Это означает, что антивирусная программа Microsoft Defender предприняла действия по устранению угрозы, но не смогла успешно завершить эту очистку. Выберите карта, чтобы развернуть его, и посмотрите, какие дополнительные действия необходимо выполнить. |
Потенциально нежелательные приложения (PUA) — это категория программного обеспечения, которое может снижать производительность компьютера, неожиданно отображать рекламные объявления или, в худшем случае, устанавливать другое программное обеспечение, которое может быть более опасным или назойливым. Он не опускается до уровня вредоносных программ, но он по-прежнему делает вещи, которые вы, вероятно, предпочли бы не делать.
Если вы хотите убедиться, что блокировка puA включена для вашего устройства, см. статью Защита компьютера от потенциально нежелательных приложений.
Microsoft Defender SmartScreen может блокировать потенциально нежелательные приложения до их установки, и в этом случае в журнале защиты появится событие блокировки.
Если вы считаете, что блок был ошибкой и хотите разрешить запуск файла, выберите Действия, а затем — Разрешить. На этом этапе вам потребуется повторно загрузить файл, чтобы использовать его.
Если вы выберете Разрешить и позже захотите отменить это действие, перейдите на страницу Разрешенные угрозы и вы можете удалить его из списка разрешенных.
Журнал защиты также может уведомлять вас о отключении важной службы, например SmartScreen для Microsoft Edge. Выберите карта для этого оповещения и в разделе Действия можно включить эту функцию.
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
При обнаружении вирусов или потенциально нежелательного с точки зрения встроенного антивируса Microsoft Defender файлов, он помещает их в карантин: из своего прежнего расположения такие файлы пропадают, а их запуск не удается.
В этой инструкции подробно о том, где находится карантин Microsoft Defender в Windows 11 и Windows 10 и о способах восстановить файлы из карантина. Также может пригодиться: Что делать, если Windows сама удаляет файлы.
- Карантин Microsoft Defender и восстановление файлов
- Журнал защиты
- Командная строка
Карантин Microsoft Defender и восстановление файлов из него
При добавлении файлов в карантин они не просто «запираются» в специальной папке антивируса Microsoft Defender, но и изменяются таким образом, что вручную их извлечь из папки и выполнить запуск не получится, даже вернув расширение исполняемого файла.
Место хранения файлов карантина:
C:\ProgramData\Microsoft\Windows Defender\Quarantine
но для их восстановления потребуется использовать либо графический интерфейс в окне «Безопасность Windows» либо командную строку.
Восстановление из карантина в журнале защиты «Безопасность Windows»
Безопасность Windows — быстрый и простой способ восстановить файлы из карантина:
- Откройте окно «Безопасность Windows» с помощью значка в области уведомлений, поиска в панели задач Windows, либо в приложении «Параметры».
- Откройте пункт «Защита от вирусов и угроз».
- Нажмите по пункту «Журнал защиты».
- В списке угроз нажмите по угрозе, которую нужно восстановить: раскроются сведения о ней, включая информацию о том, что именно было обнаружено в файле и путь к файлу, который был помещен в карантин.
- Нажмите по кнопке «Действия» и выберите пункт «Восстановить».
В результате указанного действия файл будет восстановлен в своё прежнее расположение, а его запуск разрешен. Однако учитывайте, что некоторые восстановленные файлы после этого всё равно могут не запуститься, а для запуска потребуется добавить всю папку с программой в исключения Microsoft Defender.
Как восстановить файлы из карантина в командной строке
Существует ещё одна возможность восстановления файлов, помещенных в карантин Microsoft Defender — командная строка. Шаги будут следующими:
- Запустите командную строку от имени администратора (как это сделать) и по порядку введите следующие две команды
cd "C:\Program Files\Windows Defender" MpCmdRun.exe -restore -listall
- Это отобразит список файлов, помещенных в карантин. Для восстановления конкретного файла можно использовать команду:
MpCmdRun.exe -restore -filepath "путь_к_файлу"
Путь можно скопировать, выделив его мышью в командной строке и нажав правой кнопкой мыши по нему (он автоматически будет скопирован), а вставить — аналогично нажав правой кнопкой мыши в месте расположения курсора.
- Еще одна команда для восстановления файла с указанной угрозой (ThreatName):
MpCmdRun.exe -restore -name "имя_угрозы"
Учитывайте, что файлы хранятся в карантине не бессрочно и через некоторое время (сведений о периоде времени не нашел) удаляются встроенным антивирусом полностью.
(Image credit: Windows Central)
Microsoft Defender Antivirus is one of the best antivirus for Windows 10, which offers real-time protection against viruses, spyware, ransomware, and many other forms of malware. Although the security feature works in the background automatically and usually notifies you of any suspicious or unwanted activities, it also provides a protection history report to help you stay informed and take action on the device security as necessary.
The protection history is part of the Windows Security app, and it shows a list of recent malware detections with information that allows you to determine if the threat has been cleaned, removed, or quarantine until an update arrives to Windows 10 to resolve the problem.
If you’re using the anti-ransomware feature, the history will also show blocked actions, which you can review and allow if the default action was a false-positive.
In this Windows 10 guide, we’ll walk you through the easy steps to view the malware detection history by Microsoft Defender Antivirus using the Windows Security app and PowerShell commands.
- How to view malware protection history using Windows Security
- How to view malware protection history using PowerShell
How to view malware protection history using Windows Security
To see all the malware detections on your device, use these steps:
- Open Start.
- Search for Windows Security and click the top result to open the app.
- Click on Virus & threat protection.
- Under the «Current threats» section, click the Protection history option.
- Confirm the list of threats found by Microsoft Defender Antivirus.Quick note: If you don’t see any items listed, you can breathe a little easier since it indicates that Microsoft Defender hasn’t detected any malware. If you want to make entirely sure that the device isn’t infected, you can always run a full scan with these steps.
- Select the item to view more information, including malware type, severity level, detection date, category, and information about the item’s location.
- (Optional) If the list includes various items, you can also use the Filters option in the top-right corner to filter the view by:
- Recommendations.
- Quarantined items.
- Cleaned items.
- Blocked actions (Blocked folder access, Blocked items, and Rule-based block).
- Severity (Severe, High, Moderate, and Low).
Once you complete the steps, you’ll have a better understanding of your device’s current security.
How to view malware protection history using PowerShell
Alternatively, you can also get a history list of the malware that Microsoft Defender Antivirus has detected with PowerShell commands.
All the latest news, reviews, and guides for Windows and Xbox diehards.
To query a list of detected threats with PowerShell, use these steps:
- Open Start.
- Search for PowerShell, right-click the top result, and select the Run as administrator option.
- Type the following command to view a history of threats and press Enter:
Get-MpThreat - See the list of threats found on your computer with information like threat execution, active status, and infected file location.
- (Optional) Type the following command to view a list of active and pass malware detections and press Enter:
Get-MpThreatDetection - See the list of malware detections with information like detection date, location of the infected file, action, and more
After you complete the steps, you’ll be able to determine the malware that Microsoft Defender was able to detect on Windows 10.
In the above steps, we’re mentioning to commands, and if you’re wondering the difference between the two. The
Get-MpThreatcommand is meant to show a history of threats, while the
Get-MpThreatDetectioncommand can list active and past malware detections by the antivirus.
You can learn more ways to manage the antivirus on Windows 10 using PowerShell with this comprehensive guide.
Mauro Huculak has been a Windows How-To Expert contributor for WindowsCentral.com for nearly a decade and has over 15 years of experience writing comprehensive guides. He also has an IT background and has achieved different professional certifications from Microsoft, Cisco, VMware, and CompTIA. He has been recognized as a Microsoft MVP for many years.
Защитник Windows 10 всегда прежде чем удалять тот или иной подозрительный файл, помещает его в карантин, чтобы в случае чего пользователь мог посмотреть описание возможного вируса, а также его потенциальный уровень угрозы.
Вообще, хранилище (карантин) «подозреваемых» или потенциальных вирусов защитника Windows 10 по умолчанию находится по следующему пути:
Однако не стоит торопится и открывать эту директорию, чтобы вручную восстановить тот или иной файл, надёжнее будет взаимодействовать с карантином исключительно посредством самого антивируса! Как открыть карантин посредством Защитника Windows 10:
- Прежде всего нужно открыть параметры Windows (проще это сделать если использовать комбинацию клавиш Win + I);
- В параметрах откройте раздел Обновление и безопасность;
- В меню слева нажмите на пункт Безопасность Windows;
- В открывшемся окне нажмите на кнопку Открыть Центр безопасности Защитника Windows;
- В следующем окне нажмите мышкой на подраздел Защита от вирусов и угроз;
- И наконец, нажмите на ссылку Журнал угроз.
В окне журнала вы можете увидеть полный список всех имеющихся, а также ликвидированных угроз, которые были помещены Защитником в карантин. Чтобы тщательно изучить тот или иной файл в карантине, нажмите на ссылку Показать подробности. В этом же окне можно удалить все сразу или по отдельности обнаруженные системой вирусы, нажав мышкой на соответствующую кнопку: Удалить или Удалить все. Если вы на 100% уверены, что находящийся в карантине файл абсолютно безвреден и не представляется опасности для системы, то чтобы его восстановить нажмите на одноимённую кнопку Восстановить!
Procedures here will help you know where the Windows Defender Offline Scan Results is and how will you view these. Sometimes, when your PC gets infected by malware or virus attacks which are hard to obliterate through usual methods. Even you can’t remove them manually as they are often hidden and run as background processes. Furthermore, you need to boot in a safe recovery environment so that built-in antivirus may work from outside of Windows. Offline scan is the only possible way to do so as the feature performs the operation before the OS loads.
Commonly, Windows suggests this type of scan when a highly tenacious virus exists. In the worst case, you will receive a notification alarming that additional cleaning is required. This situation requires you to bring Offline Scan from Windows Security into action. Finally, after finishing the process, you can view the detection results which might be needed to analyze the issue.
Windows Defender Offline Scan Results
Here is How to View Windows Defender Offline Scan Results in Windows 10 –
1] Find the result through Windows Security app
Step-1: Open Windows Settings app by pressing Windows key and I together.
Step-2: Upon appearing, select Update & Security.
Step-3: Select the Windows Security subsection from the left pane and shift to the adjacent right.
Step-4: Click on Virus & threat protection.
Step-5: When a new window shows up, click Protection History link to view Windows Defender Offline Scan Results.
2] Windows Defender Offline Scan Results from the log files of Windows Defender
- Press Win+R to invoke Run Dialog box.
- When it becomes visible, copy the following directory and paste it into the text field –
C:\ProgramData\Microsoft\Windows Defender\Support
- Click the OK button to head over.
- On the upcoming page, you will get the available log files of the Offline Scan Results.
3] Using Event log
Step#1: Right-click on the Start button and select Event Viewer from the Power user menu.
Step#2: Once it becomes apparent, navigate the following path using left pane –
Applications and Services Logs > Microsoft > Windows > Windows Defender > Operational
So, here, you will get all the logs after running the offline scan.
4] Using a tool WinDefLogView
This will allow to view scan result using the log files in only couple of clicks on Windows 10 and 11 as well. Follow – WinDefLogView to See and Read Windows Defender log
Methods:
1] Through Windows Security app
2] From log files of Windows Defender
3] Using Event log
4] Using a tool WinDefLogView
That’s all!!